Fatturazione elettronica e nuove regole dell’Agenzia delle entrate: il parere del Garante

Analisi del parere del Garante privacy del 22 dicembre 2021 sullo schema di provvedimento del Direttore dell’Agenzia delle entrate relativo alle nuove regole tecniche per la memorizzazione delle fatture elettroniche, da utilizzare per l’analisi del rischio e controllo a fini fiscali e per le funzioni di polizia economica e finanziaria.

Indice:

  1. Premessa
  2. Le valutazioni del Garante
  3. Le condizioni poste dal Garante

Premessa

Con il parere del 22 dicembre 2021 il Garante per la protezione dei dati personali si è espresso favorevolmente rispetto allo schema di provvedimento del Direttore dell’Agenzia delle entrate relativo alle nuove regole tecniche per la memorizzazione delle fatture elettroniche, da utilizzare per l’analisi del rischio e controllo a fini fiscali e per le funzioni di polizia economica e finanziaria.

Tuttavia, il consenso del Garante è condizionato ad alcuni adempimenti: infatti, lo stesso ha richiesto che siano apprestate maggiori tutele per la protezione dei dati adeguando, a tal fine, la normativa vigente in materia.

Lo schema di provvedimento, oggetto di attenzione del Garante, è stato predisposto dall’Agenzia delle Entrate per sostituire integralmente il provvedimento del Direttore dell’Agenzia stessa del 30 aprile 2018 e riguarda le modalità con cui  la stessa procede a memorizzare e rendere disponibili al proprio personale e alla Guardia di finanza, i file, in formato XML, delle fatture elettroniche e i dati in esse contenuti, compresi anche quelli relativi alla natura, qualità e quantità di beni e servizi acquistati dal consumatore.

A tal proposito, il Garante, dapprima, ha ricostruito i precedenti principi dal medesimo espressi in tema di trattamenti effettuati dall’Agenzia delle entrate in relazione alla fatturazione elettronica, contenuti nei provvedimenti già emanati dal Garante a riguardo. Si tratta, ad esempio,  del provvedimento del 20 dicembre 2018 in base al quale le fatture emesse in ambito sanitario, in ragione della particolare categoria di dati in esse contenuti, non possono essere raccolte attraverso il tradizionale e comune sistema (SDI), bensì debbono essere trasmesse attraverso il Sistema TS del MEF e, poi, trasmesse, alla’Agenzia al fine di apprestare le opportune garanzie in tema di protezione di dati personali.

Consigliamo il volume:

Privacy e GDPR: Manuale applicativo con esempi e casistiche settoriali

Il volume si distingue per il suo carattere multidisciplinare ponendosi quale strumento pratico e immediato per rispondere in modo corretto alle finalità della legge.Per ogni tipologia di attività, dalla sanità, alle assicurazioni, dalle banche, alle PMI fino ad arrivare al settore scolastico, il manuale diventa uno strumento per interpretare in modo efficace, il quadro regolatorio in materia di protezione dei dati personali e le sue indicazioni pratiche, riescono a dare criteri precisi su come applicarlo. Il manuale oltre a contenere le disposizioni della legge, è dotato di un formulario che permette un’analisi accurata della situazione in cui il soggetto si trova e, con chek-list, fac-simili, lettere di nomina, informative, istruzioni operative a tutto quello che occorre, permette di riuscire ad avere in breve tempo, una soluzione a tutte le problematiche che il GDPR ha introdotto. Il manuale può essere utilizzato, non solo a chi la legge la deve applicare, ma anche a quei soggetti, certificatori e verificatori delle norme UNI EN ISO, che sono preposti alla valutazione per i sistemi di qualità.Sistemi che oggi sono fondamentali per porre le aziende nella condizione di trovarsi, in un mercato concorrenziale, pronte a soddisfare le sempre più esigenti richieste di tutti gli stakeholder.  Il volume affronta, in particolare, i seguenti settori:- banche;- assicurazioni;- sanità;- lavoro;- scuole. MONICA MANDICOGià DPO e legal Specialist di privati e aziende, è avvocato e founder di Mandico & Partners. È stata coautrice di diverse opere, oltre ad aver pubblicato diverse monografie e contribuito ad opere collettanee in materia di privacy. Docente nel Corso di Perfezionamento “ Privacy e potere di controllo nelle imprese e nei rapporti di lavoro”, organizzato e patrocinato dalle Università delle Marche ed UNICAM.

Monica Mandico | 2019 Maggioli Editore

32.00 €  30.40 €

Le valutazioni del Garante

Attualmente, sul sistema SDI (Sistema di Interscambio) circolano due miliardi di fatture le quali contengono dati sui beni ceduti e i servizi prestati, indicano i rapporti fra cedente e cessionario e altri soggetti e non solo.

Dunque, al fine di poter valutare correttamente la proporzionalità del trattamento prospettato dall’Agenzia delle Entrate all’interno dello schema di provvedimento, il Garante ha acquisito un campione meramente rappresentativo di fatture elettroniche emesse nei confronti dei consumatori (B2C). L’Autorità ha provveduto a raccogliere le fatture legate ai settori di attività che presentano maggiori rischi per i diritti e per le libertà degli interessati, alla luce della tipologia dei beni e dei servizi fatturati e della non rilevanza delle spese sostenute.

In particolare, il Garante ha  raccolto ed analizzato le fatture elettroniche emesse nell’ambito selle seguenti attività:

  1. attività legale;
  2. servizio di investigazione;
  3. commercio al dettaglio di qualsiasi prodotto;
  4. alberghi;
  5. ristorazione;
  6. fornitura di energia elettrica, gas, acqua e altre utenze;
  7. trasporti, noleggi/riparazioni veicoli e parcheggi.

Da tale attività di analisi e selezione, il Garante ha osservato che le fatture emesse per i servizi di cui sopra possono contenere anche dati estremamente sensibili, poiché riferiti a specifiche persone fisiche: ad esempio dati giudiziari relativi a cause d risarcimento danni nell’ambito dell’attività legale; ovvero informazioni specifiche sui beni acquistati, alimenti consumati o luoghi in cui si è alloggiato.

In considerazione di ciò, presso l’Agenzia delle Entrate vengono conservati, attraverso le fatture elettroniche, dati riferibili ad ogni aspetto della vita quotidiana dei consumatori. Questo trattamento e questa conservazione di dati personali, ritiene  il Garante, non appare conforme all’obiettivo di interesse pubblico sotteso alla fatturazione elettronica perseguito dall’Agenzia stessa, così come disposto dall’art. 6, par. 3 e dall’art. 9, par. 2 del GDPR. In base a quest’ultimo citato articolo, infatti, è stato formalizzato il divieto generale di trattamento dei dati corrispondenti ai c.d. dati sensibili, oltre che genetici e biometrici (anche se, come noto, sono previste, tuttavia, specifiche eccezioni al divieto stesso, che si verificano nei caso espressamente previsti dalla citata normativa e ad esempio nel caso in cui il titolare abbia prestato proprio consenso).

Pertanto, conformemente all’art. 25 GDPR e al disposto dell’art. 14 del D.l. 124/2019, sono necessarie misure tecniche organizzative finalizzate alla protezione dei dati acquisiti, nel caso di specie, dall’Agenzia delle Entrate e finalizzate all’acquisizione dei soli dati necessari alle finalità del trattamento. Ciò a tutela anche dello stesso consumatore il quale potrebbe difficilmente comprovare, a causa di un lungo arco temporale, l’inesattezza dei dati che sono stati rappresentati nelle fatture a lui riferibili.

Le condizioni poste dal Garante

In considerazione di quanto suddetto, il Garante ha richiesto all’Agenzia delle entrate di predisporre ulteriori misure a tutela della privacy dei consumatori, allo scopo di rendere il trattamento conforme ai requisiti imposti dalla normativa dettata nel GDPR e dal Codice privacy.

Ancora, il Garante ha richiesto che siano previste misure idonee a garantire che le informazioni contenute nelle fatture elettroniche possano essere utilizzate nei confronti del consumatore solo se rispetto a questo vi sono verifiche economiche già avviate, in conseguenza di un potenziale rischio di evasione fiscale del consumatore stesso.

A tal fine, devono essere predisposte misure di controllo e monitoraggio che permettano alla ‘Agenzia delle entrate e al Garante di controllare la conformità delle attività di trattamento effettuate nei confronti delle persone fisiche, ossia sistemi di controllo e monitoraggio sul rispetto delle garanzie suddette nell’utilizzo, appunto, delle informazioni contenute nelle informazioni elettroniche.

In particolare, come riportato nel testo del provvedimento le garanzie devono essere apprestate specificamente nel settore legale.

Inoltre, secondo il Garante, è necessarie un intervento legislativo diretto a dettare una specifica limitazione all’utilizzo di informazioni contenute nelle fatture elettroniche alla sola finalità di contrasto all’evasione fiscale, limitando, in tal senso, i diritti di accesso alla documentazione amministrativa da parte di soggetti non collegati alla fattura. Ciò in conformità del disposto dell’art. 5 del GDPR il quale detta i principi applicabili al trattamento di dati personali, ossia i principi di proporzionalità, liceità e correttezza, di limitazione della finalità e di minimizzazione dei dati.

Consigliamo il volume:

Privacy e GDPR: Manuale applicativo con esempi e casistiche settoriali

Il volume si distingue per il suo carattere multidisciplinare ponendosi quale strumento pratico e immediato per rispondere in modo corretto alle finalità della legge.Per ogni tipologia di attività, dalla sanità, alle assicurazioni, dalle banche, alle PMI fino ad arrivare al settore scolastico, il manuale diventa uno strumento per interpretare in modo efficace, il quadro regolatorio in materia di protezione dei dati personali e le sue indicazioni pratiche, riescono a dare criteri precisi su come applicarlo. Il manuale oltre a contenere le disposizioni della legge, è dotato di un formulario che permette un’analisi accurata della situazione in cui il soggetto si trova e, con chek-list, fac-simili, lettere di nomina, informative, istruzioni operative a tutto quello che occorre, permette di riuscire ad avere in breve tempo, una soluzione a tutte le problematiche che il GDPR ha introdotto. Il manuale può essere utilizzato, non solo a chi la legge la deve applicare, ma anche a quei soggetti, certificatori e verificatori delle norme UNI EN ISO, che sono preposti alla valutazione per i sistemi di qualità.Sistemi che oggi sono fondamentali per porre le aziende nella condizione di trovarsi, in un mercato concorrenziale, pronte a soddisfare le sempre più esigenti richieste di tutti gli stakeholder.  Il volume affronta, in particolare, i seguenti settori:- banche;- assicurazioni;- sanità;- lavoro;- scuole. MONICA MANDICOGià DPO e legal Specialist di privati e aziende, è avvocato e founder di Mandico & Partners. È stata coautrice di diverse opere, oltre ad aver pubblicato diverse monografie e contribuito ad opere collettanee in materia di privacy. Docente nel Corso di Perfezionamento “ Privacy e potere di controllo nelle imprese e nei rapporti di lavoro”, organizzato e patrocinato dalle Università delle Marche ed UNICAM.

Monica Mandico | 2019 Maggioli Editore

32.00 €  30.40 €

Avv. Muia’ Pier Paolo

Scrivi un commento

Accedi per poter inserire un commento